shiro与Spring Boot整合(学习笔记)

什么是 Shiro

 

官网：Apache Shiro | Simple. Java. Security.

是一款主流的 Java 安全框架，不依赖任何容器，可以运行在 Java SE 和 Java EE 项目中，它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。

Shiro 就是用来解决安全管理的系统化框架。

Shiro 核心组件

1、UsernamePasswordToken，Shiro 用来封装用户登录信息，使用用户的登录信息来创建令牌 Token。

2、SecurityManager，Shiro 的核心部分，负责安全认证和授权。

3、Suject，Shiro 的一个抽象概念，包含了用户信息。

4、Realm，开发者自定义的模块，根据项目的需求，验证和授权的逻辑全部写在 Realm 中。

5、AuthenticationInfo，用户的角色信息集合，认证时使用。

6、AuthorzationInfo，角色的权限信息集合，授权时使用。

7、DefaultWebSecurityManager，安全管理器，开发者自定义的 Realm 需要注入到 DefaultWebSecurityManager 进行管理才能生效。

8、ShiroFilterFactoryBean，过滤器工厂，Shiro 的基本运行机制是开发者定制规则，Shiro 去执行，具体的执行操作就是由 ShiroFilterFactoryBean 创建的一个个 Filter 对象来完成。

Shiro 的运行机制如下图所示。

用户 角色 权限的关系 ：
    每个用户都会有相应个角色  每个角色有相应的权限；用户一般不会直接关联权限，而是通过关联角色拥有响相应的权限。

Spring Boot 整合 Shiro

1、创建 Spring Boot 应用，集成 Shiro 及相关组件，pom.xml

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
​
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
​
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.5.3</version>
    </dependency>
​
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
    </dependency>
​
    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.3.1.tmp</version>
    </dependency>
​
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
        <exclusions>
            <exclusion>
                <groupId>org.junit.vintage</groupId>
                <artifactId>junit-vintage-engine</artifactId>
            </exclusion>
        </exclusions>
    </dependency>
</dependencies>

2、自定义 Shiro 过滤器

public class AccountRealm extends AuthorizingRealm {
    @Autowired
    private AccountService accountService;
​
    /**
     * 授权
     * @param principalCollection
     * @return
     * AuthorzationInfo，角色的权限信息集合，授权时使用。
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前用户信息
        Subject subject = SecurityUtils.getSubject();
        Account account = (Account) subject.getPrincipal();
​
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //设置角色
        info.addRole(account.getRole());
        //设置权限
        info.addStringPermission(account.getPerms());
        return info;
    }
​
    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     * AuthenticationInfo，用户的角色信息集合，认证时使用。
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        Account account = accountService.findUserByName(token.getUsername());
        //可以根据该用户名查到数据
        if(account != null) {
            return new SimpleAuthenticationInfo(account,account.getPassword(),getName());
        }
        return null;
    }
}

3、配置类

@Configuration
public class ShiroConfig {
​
    /**
     * ShiroFilterFactoryBean:
     *过滤器工厂，Shiro 的基本运行机制是开发者定制规则，Shiro 去执行，
     * 具体的执行操作就是由 ShiroFilterFactoryBean 创建的一个个 Filter 对象来完成。
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        //权限设置
        Map<String, String> map = new HashMap<>();
        map.put("/main","authc");
        map.put("/manage","perms[manage]");
        map.put("/administrator","roles[administrator]");
        factoryBean.setFilterChainDefinitionMap(map);
        //设置登录页面
        factoryBean.setLoginUrl("/login");
        //设置未授权页面
        factoryBean.setUnauthorizedUrl("/unauthorize");
        return factoryBean;
    }
​
    /**
     *DefaultWebSecurityManager:
     * 安全管理器，开发者自定义的 Realm 需要注入到 DefaultWebSecurityManager进行管理才能生效。
     * @param accountRealm
     * @return
     */
    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(accountRealm);
        return securityManager;
    }
​
    /**
     * Realm:开发者自定义的模块，根据项目的需求，验证和授权的逻辑全部写在 Realm 中。
     * @return
     */
    @Bean
    public AccountRealm accountRealm() {
        return new AccountRealm();
    }
​
    /**
     * 与thymeleaf整合
     * @return
     */
    @Bean
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }
}

4.Controller

@Controller
public class AccountController {
​
    @GetMapping("/{url}")
    public String redirect(@PathVariable("url") String url) {
        return url;
    }
​
    @PostMapping("/login")
    public String adminLogin( String username, String password, Model model) {
        //创建subject对象
        Subject subject = SecurityUtils.getSubject();
        //根据用户名和密码生成token
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
​
        try {
            subject.login(token);
            //认证成功后把用户信息放到session中
            Account account = (Account) subject.getPrincipal();
            subject.getSession().setAttribute("userInfo",account);
            return "index";
        } catch (Exception e) {
            e.printStackTrace();
            model.addAttribute("msg","用户名或密码错误!请重新登录");
            return "login";
        }
    }
​
    @GetMapping("/unauthorize")
    @ResponseBody
    public String unAuthorize() {
        return "未授权无法访问该页面";
    }
​
    @GetMapping("/logout")
    public String LoginOut() {
        Subject subject = SecurityUtils.getSubject();
        //subject会帮我们注销
        subject.logout();
        return "login";
    }
​
}

编写认证和授权规则：

认证过滤器

anon：无需认证。

authc：必须认证。

authcBasic：需要通过 HTTPBasic 认证。

user：不一定通过认证，只要曾经被 Shiro 记录即可，比如：记住我。

授权过滤器

perms：必须拥有某个权限才能访问。

role：必须拥有某个角色才能访问。

port：请求的端口必须是指定值才可以。

rest：请求必须基于 RESTful，POST、PUT、GET、DELETE。

ssl：必须是安全的 URL 请求，协议 HTTPS。

创建 3 个页面，main.html、manage.html、administrator.html

访问权限如下：

1、必须登录才能访问 main.html

2、当前用户必须拥有 manage 授权才能访问 manage.html

3、当前用户必须拥有 administrator 角色才能访问 administrator.html

Shiro 整合 Thymeleaf

1、pom.xml 引入依赖

<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

2、配置类添加 ShiroDialect

@Bean
public ShiroDialect shiroDialect(){
    return new ShiroDialect();
}

3、index.html

<!DOCTYPE html>
<html lang="en" xmlns:th= "http://www.thymeleaf.org"
      xmlns:shiro= "http://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <link rel="shortcut icon" href="#" />
</head>
<body>
<p>index</p>
<div th:if="${session.userInfo} != null">
    <span th:text="${session.userInfo.username} + '欢迎回来'"></span> <a href="/logout">注销</a>
</div>

<a href="/main">main</a>|
<div shiro:hasPermission="manage">
    <a href="/manage">manage</a></br>
</div>
<div shiro:hasRole="administrator">
    <a href="/administrator">administrator</a></br>
</div>

</body>
</html>